пока нет возможно опробовать транки на практике, хотелось бы выяснить теоритическую сторону вопрса:

Делаем несколько транков на 3526, 2х100 мегабит 1+2 порт, 3+4 ...
Как при таком раскладе будет работаь ACL ?
нужно будет указвывать в правилах порт 1-2 порты, или указывать только начальный порт группы - 1, 3, ... или ещё 3-й вариант ?

Цитата из русского мануала:
Предупреждение: Коммутатор позволяет создавать до шести групп
агрегированных каналов, каждая из которых включает в себя количество портов
от 2 до 8. Арегировать можно только те порты, номера которых образуют
непрерывный диапазон. Два гигабитных порта коммутатора агрегировать нельзя:
они могут использоваться только в качестве отдельного канала. Все порты
группы должны быть членами одной и той же VLAN, их STP-статусы,
статическая таблица многоадресной рассылки, статус управления трафика;
сегментация трафика и параметры 802.1p должны быть одинаковы. Не
допускается включение функций блокировки порта, зеркалирования порта и
802.1X для портов, входящих в группу агрегированных каналов. Помимо этого
все порты, входящие в группу агрегированных каналов, должны поддерживать
одинаковую скорость и работать в режиме полный дуплекс.

Думаю к ACL это также относится.

Вы не могли бы пояснить что и как вы хотите фильтровать?

чтонибуть типа фильтрации портов, макадресов,
access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 21 deny

access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0x0 profile_id 11
config access_profile profile_id 11 add access_id 2 packet_content_mask offset_0-15 0x0 0x00000008 0x02df52cf 0x0 port 20 deny

обрезание ИП адресов по диапазону
access_profile ip source_ip_mask 255.255.254.0 profile_id 21
config access_profile profile_id 21 add access_id 1 ip source_ip 192.168.48.0 port 21 permit
access_profile ip source_ip_mask 0.0.0.0 profile_id 200
config access_profile profile_id 200 add access_id 1 ip source_ip 0.0.0.0 port 21 deny

А зачем Вам нужно делать именно на агрегированном канале?

предполагалось внутри здания, звезду 1226-1228 (6-7 штук) в 3526.. 100 мегабит это уже не модно.. а гигабитный на 8 портов с ACL стоит в 3 раза дороже.. Хотя и избыточный запас ширины канала никогда не повредит

Если не возможно при указанной схеме реализовать функционал ACL жаль но не смертельно

Можно попробовать взять на тест DGS-3200-10 (8 портов 1000Base-T и 2 комбо-порта). ACL есть. По цене даже подешевле DES-35XX. А вообще то что Вы хотите на агрегированном канале сделать нельзя.